sslug-teknik team mailing list archive

Thread
Date

Re: Iptables

To: sslug-teknik@xxxxxxxx
From: henrik@xxxxxxx (Henrik St�)
Date: Tue, 5 Jun 2001 22:35:27 +0000 (UTC)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

In <HNEDJPOCANKJMMEDCAAJKELOCAAA.big@xxxxxxxxx> "Jesper Berth" <big@xxxxxxxxx> writes:

>Jeg ville gerne benytte det script der ligger på
>http://www.sslug.dk/sikkerhed/netfilter.html men da jeg har en isdn router
>er det eksterne net eth1 istedet for ppp0, kan jeg uden videre skifte ppp0
>ud med eth1 i

>iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
>med
>iptables -A block -m state --state NEW -i ! eth1 -j ACCEPT

Ja, det er der ingen problemer i.

>og alt vil virke efter hensigten, hvad med MASQUERADING delen ?

>iptables -t nat -F POSTROUTING
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Det vil også virke, hvis du skifter ppp0 ud med eth1 her.

En anden skrev at man bør bruge SNAT i stedet for MASQUERADE. 
Det er rigtigt, hvis din firewall-maskine har en fast IP 
adresse, hvilket du typisk har ved en router-opkobling. I 
så fald hedder linien
  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to DIN.LINUX.FIREWALL.IP

"MASQUERADE" virker også - den kan altid bruges. Så hvis du er i
tvivl, så sæt det op med masquerade-kommandoen.

>btw: jeg kan ikke komme ind på http://netfilter.kernelnotes.org/

Jeg mener at kernelnotes.org domænet er forsvundet. Du kan bruge
http://netfilter.samba.org/ i stedet.

Henrik
-- 
Henrik Storner      | "ATA100 is another testimony to the fact that 
<henrik@xxxxxxxxxx> |  pigs can be made to fly given sufficient thrust"
                    | 
                    |          Linux kernel hacker Alan Cox, on IDE drives

References

Iptables
From: Jesper Berth, 2001-06-05